戴定一 专家委员会主任
中国物流学会专家委员会主任
在第十九次中国物流学术年会上的演讲(摘要)
(2020年11月28日 广东·佛山·南海)
各位嘉宾、各位朋友,大家下午好!
我讲这个主题有两点考虑,第一,我们听了一天的发言以及参加了很多活动,往往有这样一个印象,物流主要是通过科技进步解决降本增效。这个印象容易带来一个负作用,就是容易把物流变得纯科技化,变得过于往自然科学方向靠拢。但是实际上物流还是属于经济范畴,有很多社会学、人文学的东西。在很多会议上我都强调过这一点,今天我想再次强调物流的一些本质不是完全能够用科学、工程、数学解决的,而是社会学、经济学里的一部分。第二,数据的隐私与产权对我们是一个既陌生又熟悉的话题,大家一听就懂,但是从来没有认真地研究过。而这件事情近来变得越来越热,只是在物流界反响还很小,有点滞后。我希望通过演讲,能够引起物流界的重视。在这个话题上我们物流界也应该有自己的解决方案或者是认知方面的话语权。
我还是问题导向,从几个大家很熟悉的问题开始说起。第一,快递公司收集的个人信息,这些信息的所有权归谁?第二,小区门禁要从刷卡升级为人脸识别,我们能拒绝吗?如果拒绝了进不去门怎么办?第三,我们对于自己的信息究竟有什么权利?这实际上就是隐私概念的本质。无论是我自己的信息,还是这个信息被别人采集了,我能主张什么权利?第四,社会关系中一般的权利是怎样确立的?是天赋的还是在博弈中演进、逐渐成熟的?我们要在这些具体问题上有一些新的认知,同时扩展到我们的日常生活中、物流产业的发展过程中,凡是涉及到关系、利益、产权这些问题的时候,都需要回答这些是怎样形成的?我们到底有哪些主张?应该怎么认识这些事情?
我讲两个案例来说明对于这些问题应该会有什么样的启发,希望通过这两个案例,大家对我前面提出的那些问题会有所新的认知,能够打开这扇门,进入到这样的认知领域里,而不是把物流以及我们以前的认知看作是简单的效率问题、技术问题。
第一个案例是最近刚刚宣判的国内“人脸识别第一案”。事情的经过是这样,2019年4月,浙江杭州一名姓郭的年轻律师花费了1360元购买了杭州野生动物世界的年卡,有效期一年,不限次数,入园的时候要同时验卡和指纹。2019年10月,园区给郭律师发来一条短信,称园区年卡系统已经升级为人脸识别,原指纹识别已经取消,要求所有买卡的人要进行人脸识别的系统升级,未升级将无法正常入园。郭律师不同意,于是要主张自己的权利,将杭州野生动物世界起诉到法院,有几点要求:首先退款,第二把全部个人信息统统删除,第三要求园区取消这个升级规定。
这件事在当时是一个很棘手的问题,所以2019年11月就立了案,但是一直没法宣判,拖了很长时间。到了今年11月,法院才宣判郭某胜诉。判决的理由是园区单方面改变合同,没有经过当事人同意,就把原来的指纹识别升级成人脸识别。第二,园区采集了非必要信息,原来既然是指纹识别,为什么要采集人脸信息?当然,法院没有支持取消升级为人脸识别系统这个要求。
这个宣判有一个背景,今年10月,全国人大常委会开始审议《个人信息保护法(草案)》。这里最重要的一个亮点就是确立个人信息的使用必须授权委托,也就是说采集了我的信息,使用前必须经过我的允许,而且这种允许是可以后来变更的。后续我又不允许了,也是可以的,这是《个人信息保护法(草案)》跟这个案件有关的最值得关注的一点。
通过这个案例能够得到关于未来法律发展的一些启示。第一,明确国内的依据:判决这一类案件的依据是个人信息使用需要授权,要经过本人同意,但是不涉及这个信息归谁所有。所以规范数据使用权是法律发展的方向,而不是去规范它的所有权。那我们所拥有的产权是所有权吗?不是的,产权是一系列权利的总称,只不过在实体经济中,所有权是最管用的,是其他权利的基础,但是所有权并不代表全部的产权,有了所有权并不代表可以随便转用、随便转让和随便卖,有时候会受到限制。如果能够把这两个概念区分开,我们的数据产权会逐渐丰富结构化。
第二,标准合同是目前授权使用的一种通用形式,也就是郭律师当初和园区方签的协议是一个标准合同,合同里一定有同意授权园区方使用。但是新的《个人信息保护法(草案)》是允许变更的,当初是签了合同,但是现在又反悔了要撤回,这是允许的。这是一个创新,但也是一个难点,想反悔就得通过打官司,成本会很高,时间会很长,所以到底怎么操作还需要实践进行检验。
第三,采集信息一定要符合合法、正当、必要,这三点是《消费者权益保护法》里规定的。但是还有一些信息是非合同采集的,比如马路上的摄像头,没有签任何协议,人脸、地理位置等信息都被采集到了,有国家采集的,也有企业采集的,什么叫做合法、正当、必要呢?所以在未来规范使用的方向上有很长的路要走。在规范使用的时候,是要根据相关各方的利害得失进行比较的,并没有绝对的标准,完全是博弈、比较中一点点取得共识、取得均衡的过程,这代表了法律的制定过程。权利或者产权的确定过程,不是一个天赋的或者有一个顶层设计的。因为它涉及到大家有没有共识,没有共识的法律,大家不会自觉遵守,执法的成本会极高。所以在立法或者形成权利标准的时候,如何均衡各方共识、平衡各方利益,是通过一个个案例、一个个实际场景去概括和总结的,目前为止我们还缺少丰富的案例,现在是起步阶段、积累阶段。
第四,这个案例仍然是基于《合同法》,因为园区方撕毁了原来的合同。我们看到中国在解决这个问题的过程中是介于欧美之间的,下面会讲到这一点。
第二个案例是著名的施雷姆斯案。这是一个非常经典的案例,凡是涉及到数据国际纠纷的必然会知道这个案子,我先简单讲讲它的背景情况。
欧盟规定所有的数据不能出口到监管低于欧盟的国家,比如Facebook、Amazon这些公司在欧洲开展的业务,数据不能够随便传回美国,除非能证明美国对这些数据的隐私保护、安全保护是跟欧盟相同标准。美国一开始不适应,然后通过跟欧盟谈判签订了《安全港协议》,在确保美国企业达到欧盟的较高保护标准的同时,能够维持美国长久以来一直采用的自律机制。这就意味着加入安全港的美国企业可以不经个人授权而进行数据转移,而未加入安全港的美国企业必须单独从各个欧洲国家获取授权。
施雷姆斯是奥地利一名年轻的律师,他上学的时候学的是个人信息保护方面的专业,所以在他读研究生的时候就开始关注个人信息隐私的问题。他开始查自己在Facebook上的信息是不是传到国外了?是否得到了保护?结果他发现承诺没有兑现。于是在2013年因为Facebook将他的个人信息传回美国而提起诉讼,诉讼地点在爱尔兰,因为Facebook的欧洲总部在爱尔兰。这个官司非常漫长,直到了2015年,欧盟最高法院否决了《安全港协议》,宣布施雷姆斯获胜。这里有一个背景,2013年斯诺登爆料了“棱镜门”事件,也就是美国在暗中监控欧洲各国,美国对于原来签订的《安全港协议》实际上并不执行,这样一来影响极大。
接下来美国又提出“隐私盾方案”,用欧盟批准的一些标准制定个人授权合同,实际上就是标准合同,比如大家成为苹果或者亚马逊的用户都要签一个协议,标准合同上没有选择的余地,参加就要满足它的这些要求,这就是标准合同,也是欧盟认可的标准。但是施雷姆斯发现美国也没有遵守“隐私盾协议”,于是在2015年再次起诉。2018年,欧盟出台了著名的《通用数据保护条例》(GeneralData Protection Regulation,简称GDPR)。这是目前全世界最严的个人信息保护条例,一是规定了个人的数据就归个人所有,被别人采集了也归个人所有,这比中国厉害;二是规定了对违反这个条例的企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。第二次起诉又经过了漫长的时间,到了今年7月,法院宣判施雷姆斯再次获胜。这就是欧美之间的博弈,在这件事情上完全沿着施雷姆斯案发展。
通过这个案例可以得到几点启发:第一,施雷姆斯诉Facebook案是推动欧美数据法律博弈和演化过程的主线。这件事至今为止没有结束,大家可以继续关注,最新的消息是Facebook可能要撤出欧洲,韩国可能也要惩罚Amazon、Facebook。第二,欧美对于数据产权保护的差别。美国的法律相对比较宽松,允许标准合同授权,有利于创新,所以也诞生了众多国际领先的大数据公司,包括苹果、谷歌、亚马逊。而欧洲的法律比较严,GDPR规定了个人所有权,制约了数据公司的创新和发展,当然对自身而言却又是一种保护。所以在这个博弈过程中,我们看不出什么是正确或者错误,它只是得失的比较,不是一个观念之争,而是利益的博弈和均衡。第三,产权保护没有统一的标准,一定要有社会共识和执法能力作为基础,各地的经济、文化、制度都会带来多样性,我们需要尊重和借鉴。我们国家也是这么做的,像苹果公司在中国的数据中心是委托国内贵州的一家公司运营,它的数据也不能随便传回美国。
我今天通过这两个案例打开这扇门,说说数据安全、法律、关系以及产权这些问题。产权是界定关系的基础性概念,但产权并不等同于所有权。数据所有权属于采集者有利于数据产业,但是要规范使用权,这就是数据产权的特点。确定数据产权的边界要均衡利益各方的得失,难点就是如何比较,目前还需要积累。产权规定要基于社会共识和执法能力,不仅会有多样性,还会继续演化。把理念之争转化为各种行为的得失比较是法律思维的方法论,我们很容易用价值观、各种理念标准去解决矛盾,但是法律思维是通过行为的得失来比较产生均衡的,所以法律是通过约束行为来完善社会秩序的均衡。这是法律思维的方法论,是我们需要借鉴的。
最后用习主席在中央全面依法治国工作会议上的讲话里的一句话来结束我的演讲:“只有全面依法治国,有效保障国家治理体系的系统性、规范性、协调性,才能最大限度凝聚社会共识。”,这里特别强调了要达到凝聚社会共识这样一个目标。
谢谢大家!
(根据速记整理,未经本人审阅,转载请注明作者和来源中国物流学会。)